Buscamos entender o que a chegada da LGPD muda no mercado de segurança.
Na semana passada foi sancionada a Lei Geral de Proteção de Dados Pessoais (LDPD), certamente um grande avanço nas políticas públicas que dão mais privacidade e maior controle das pessoas sobre os dados que disponibilizam às empresas e organizações.
Para além da agitação inicial, com várias notícias generalistas sobre o tema, agora cabe uma análise mais aprofundada e específica para a área de segurança eletrônica. Sem a pretensão de esvaziar este assunto complexo em uma única reportagem, a Digital Security preparou um material especial para esclarecer algumas dúvidas jurídicas específicas, entender como as empresas já estão se adequando à legislações internacionais e compreender o que uma indústria que captura dados o tempo todo, como imagens e informações biométricas, precisa fazer para se adequar à nova realidade.
Inspirada na General Data Protection Regulation (GDPR), lei europeia que entrou em vigor em maio desse ano, a legislação brasileira é o marco legal que estabelece os conceitos-base sobre como as empresas do setor público e privado devem tratar os dados pessoais que coleta dos cidadãos. Além disso, estabelece que as empresas são responsáveis pela segurança desses dados, prevendo penalização em caso de descumprimento.
Minha empresa precisará atender ao LGPD?
É importante ressaltar que trata-se de uma Lei Geral inédita no país e, como tal, a LGPD ainda carece de avaliação para especificidades que não podem ser contempladas em uma legislação que se propõe a ser abrangente. Ainda assim, é preciso compreender no que a lei se foca para saber se uma empresa precisará proteger os dados das pessoas que tenham qualquer relação com seu negócio.
“O conceito de dado pessoal é tudo aquilo que identifica ou torna identificável uma pessoa física, referenciada na lei como pessoa natural”, pontua Caio César Lima, sócio do Escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados. “É o que chamamos de conceito expansivo: tudo aquilo que de alguma forma puder tornar identificável uma pessoa física será considerado um dado pessoal”.
Assim, com um conceito tão abrangente, basta que uma empresa registre uma informação simples, como o nome, uma foto da pessoa ou até mesmo um endereço IP de um dispositivo móvel associado ao nome de um usuário para estar sujeita à LGPD.
Neste ponto, vale ressaltar que a legislação brasileira é ainda mais específica do que a GDPR ao estabelecer também o conceito de dados pessoais sensíveis com tratamento diferenciado. Aqui, enquadram-se informações como origem racial ou étnica, orientação sexual, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, mas também dados referente à saúde e a biometria. Este último, em específico, é bastante utilizado nos sistemas mais avançados de segurança, como o reconhecimento facial ou de íris com câmeras e o controle de acesso por impressão digital, por exemplo.
Assim sendo, é importante que as empresas entendam os fundamentos que permitirão que os dados sejam coletados, processados e armazenados para que possam se proteger se forem indiciadas ou processadas com base na LGPD quando a lei efetivamente entrar em vigor, daqui há 18 meses.
O Artigo 7 e o Artigo 11 definem as hipóteses em que o tratamento é possível, indo desde o consentimento do usuário até casos classificados como de interesse legítimo para cumprimento de obrigações legais, realização de estudos, tratamentos de saúde, entre outros. Para a área de segurança, vale o destaque para a alínea que permite o tratamento de dados “para proteção da vida ou incolumidade física do titular dos dados ou de terceiros”.
Segundo o advogado Caio Lima, esses pontos da legislação mostram que é possível sim que os dados sejam tratados, mas que existirão requisitos e objetivos mais robustos que precisarão ser contemplados. “Em uma situação onde um estabelecimento usa dispositivos de segurança, ele poderá tratar o dados desde que seja com o objetivo de evitar um dano ou um problema para aquela pessoa. A lei permite que o negócio colete essa informação com essa finalidade específica e somente isso. Sem o consentimento, o estabelecimento não poderá usar esse dado para saber que horas uma determinada pessoa entrou no local, que horas ela chegou na loja A ou B, o horário e onde ela especificamente foi almoçar utilizando um recurso de reconhecimento facial, por exemplo”.
Além disso, a lei proíbe o chamado “vício de consentimento” que é mais facilmente exemplificado nos infindáveis termos de uso para serviços e plataformas online que quase ninguém lê. Embora o usuário tenha marcado a opção de concordar com os termos, ele não está realmente ciente de quais dados são coletados, por quem e o porquê serão utilizados.
De acordo com os termos da lei, o consentimento tem que ser livre, informado e inequívoco para finalidades específicas previstas nos contratos firmados entre as empresas e seus clientes. No caso de dados pessoais sensíveis, esse consentimento ainda tem que ter um destaque maior em relação aos outros.
O titular dos dados ainda poderá exigir a exclusão deles mas há limitações. “Eu não posso pedir a exclusão sobre exatamente tudo que existe sobre a minha pessoa, porque essa exclusão vai até o limite que há uma outra lei que me permite armazenar aqueles dados. Se um código tributário exige que uma loja mantenha uma nota fiscal por 20 anos, mesmo que o usuário exija a exclusão de todos os dados dele, o estabelecimento precisará manter essa informação”, pontua Lima. “Quando se fala em investigações policiais, não existe prazo para armazenamento desses dados: enquanto estiver acontecendo a investigação, a autoridade policial poderá manter esses dados”.
A sistematização do compliance
A ferramenta pela qual as empresas comprovarão que seguem as determinações da LGPD também é prevista no texto da lei. Chamado de Relatório de Impacto à Proteção de Dados Pessoais, o documento reúne uma série de informações técnicas e operacionais que incluirá, entre outros levantamentos, o nome do Encarregado da Proteção de Dados Pessoais; as regras de Segurança da Informação; um Manual de Incidente de Segurança da Informação, com os procedimentos que o gestor de segurança deve tomar caso haja algum incidente como um vazamento; e o Ciclo de Vida de Dados Pessoais, um mapeamento sobre todas as formas de coleta dos dados pessoais, todos os seus usos, os compartilhamentos, onde e como eles são armazenados e o processo de exclusão das informações.
É exatamente neste último ponto onde a tecnologia será uma grande aliada do negócio. Sistemas capazes de auditar todo o tráfego de informação em uma rede conectada terão uma clara vantagem para entrarem em conformidade com a LGPD. A capacidade de anonimizar os dados, com o uso de algoritmos, por exemplo, e criptografar essas comunicações para dificultar o acesso por qualquer pessoa não autorizada também é um diferencial importante.
Tudo isso, é claro, dependerá de uma profunda avaliação de negócio que resultará na criação e/ou fortalecimento de procedimentos e processos em qualquer empresa. Ainda não há um modelo certo a ser seguido, mas alguns passos já podem ser tomados.
Para o advogado Caio Lima, o primeiro ponto é realizar um treinamento que promova uma cultura de proteção de dados para todas as pessoas da empresa. “A Ideia é explicar os pontos principais do LGPD e quais os principais impactos que ela pode trazer para dentro da organização”, explica.
Feito esse encontro de nivelamento, a organização deve escolher as principais pessoas que tocarão o projeto dentro da empresa. “Elas, então, farão o processo de mapeamento do ciclo de vida dos dados pessoais e, em seguida, terão ferramentas para redigir as políticas internas de segurança da informação, as cláusulas contratuais, disclaimers e aditivos de contrato necessários”.
Por fim, deve se estabelecer uma Política Externa de Segurança da Informação para exigir níveis semelhantes a qualquer terceiro que eventualmente tenha acesso a dados pessoais das pessoas de uma organização, já que a lei prevê responsabilização caso haja vazamento por um terceiro.
Lima estima que um projeto completo de compliance ao LGPD deve demorar de 12 a 18 meses para ser concluído.
A LGPD não trará vantagens apenas para os titulares dos dados, mas também para as empresas controladoras, com maior segurança jurídica e servindo como comprovação de capacidade de garantir os mais altos níveis de segurança para seus clientes e parceiros.
A LGPD terá um grande impacto na forma de se fazer negócios nacional e internacionalmente. Empresas sérias dificilmente farão negócios com outras empresas que não estejam em conformidade com a lei por receio das sanções e multas que podem chegar a até R$ 50 milhões por infração.
Embora a criação da Autoridade Nacional de Proteção de Dados (ANPD) – espécie de agência reguladora para o tema – tenha sido postergada para um projeto de lei de autoria do executivo federal, as empresas não devem cair na falsa impressão de que a lei não será efetivamente aplicada. Com os princípios impostos pela LGPD, o poder judiciário poderá conduzir os processos independentemente da existência ou não da ANPD. Assim, é essencial que todos comecem a se preparar para, no futuro, evitar problemas de qualquer ordem.
Um avanço natural
O tema da proteção de dados pessoais não é nenhuma novidade e não surgiu do dia para a noite mas certamente ganhou um apelo muito maior após os diversos casos de vazamento de dados que disponibilizaram informações de várias pessoas em todo o mundo pela internet. A própria LGPD é fruto de projeto de lei apresentado em 2010 e serve mais como um “norte” para qualquer legislação que vá tratar sobre o tema em terras brasileiras daqui para frente.
Especialmente no mercado digital, o Marco Civil da Internet já tratava sobre a proteção de dados e a privacidade e a LGPD é encarada como uma evolução das normas existentes. Pelo menos, é o que avaliam os presidentes de importantes associações representativas do setor de tecnologia para segurança no Brasil.
“Essas informações representam verdadeiros ativos para diversos negócios que, aliadas a tecnologias disruptivas, têm dado margem para alguns excessos, desvirtuamentos e inseguranças. Logo, vemos com bons olhos a nova Lei Geral de Proteção de Dados”, pontua Selma Migliori, da Associação Brasileira de Empresas de Sistemas Eletrônicos de Segurança.
Já para Francisco Camargo, da Associação Brasileira de Empresas de Software (ABES), a LGPD é uma lei que visa resolver um problema muito complexo, em que a proteção da privacidade individual não deve interferir com a inovação, com o desenvolvimento do Brasil rumo à Economia Digital, baseada na análise dos dados. No entanto, para ele, a falta de uma análise de impacto regulatório pode prejudicar essa inovação. “As pequenas e médias empresas e as startups poderão ter um grande custo adicional para se adequarem, que pode ser uma gigantesca barreira ao empreenderismo no Brasil”.
Aí está um ponto realmente preocupante, mas que deve ser solucionado quando a Autoridade Nacional de Proteção de Dados for efetivamente criada, podendo formatar modelos e auxiliar em as micro, pequenas e médias empresas que não tenham tanta capacidade de investimento. Na GDPR, por exemplo, a figura do Data Protection Officer (DPO) – que aqui será conhecida como Encarregado de Proteção de Dados Pessoais -, é exigida apenas quando há um tratamento em alta escala de dados ou quando o tratamento possa trazer um risco elevado aos titulares e, de acordo com a lei, a ANPD também terá liberdade para definir um requisito mínimo semelhante.
De qualquer forma, ambas associações dizem estar se preparando para auxiliar seus filiados a atender a legislação. “Todos sabemos das limitações do Governo, e, em contrapartida, dos avanços que só a iniciativa privada é capaz de promover com eficiência, especialmente em termos de tecnologia”, pontua Selma. “A ABESE tem essa visão há tempos, e por isso criou comitês temáticos justamente para desenvolver regras de governança, de boas práticas na gestão de serviços de segurança eletrônica e, evidentemente, na proteção de dados. Ainda nesse ano devemos lançar alguns manuais no âmbito dos Comitês de Portaria Remota, que trata do mercado de segurança que desenvolve controles de acesso, e de Rastreamento, outro segmento da segurança eletrônica, igualmente em franca expansão. A ABESE conta ainda com os Comitês de Leis, do Consumidor e de Internet das Coisas (IoT), todos estratégicos e voltados para governança. Então, já estaremos mais do que preparados para contribuir quando a lei entrar em vigor daqui a um ano e meio”.
Preparação tecnológica
Embora a LGPD exija uma atenção maior aos processos relacionados ao compliance, a exigência de garantir a segurança das informações resultará em um aquecimento do mercado de tecnologias que auxiliam nesses procedimentos.
“As tecnologias que protegem o acesso à rede interna de um organização, como Firewalls, Web Application Firewall, Anti-Virus, criptografia de banco de dados, são o primeiro passo lógico e o mínimo que a empresa tem que ter”, ressalta Francisco Camargo, presidente da ABES. “Garantida a segurança, temos que garantir a privacidade, avisando os visitantes e outros detentores de dados que dados estão sendo coletados, que uso terão esses dados, etc. Uma norma pública sobre privacidade é essencial e deve estar disponível no site da empresa”.
Além disso, as práticas de desenvolvimento seguro devem ser outro caminho para se preparar. Neste caso, há vários guias, padrões e práticas recomendadas disponíveis no mercado de várias organizações e institutos de padronização. Um exemplo é a norma ISO 27001, voltada para a segurança da informação. A NIST, instituto nacional de padrões e tecnologias dos Estados Unidos, recentemente atualizou a sua framework para que as empresas e outras entidades tenham uma referência para a proteção cibernética de infraestruturas críticas.
“Em tese, todos os sistemas desenvolvidos para armazenar informações pessoais e viabilizar uma compra, um acesso de segurança, dente outras finalidades, são codificados, criptografados. Acontece que ao tempo em que as tecnologias avançam e rompem barreiras, a ausência de metodologias e de protocolos de conduta aliados a efetiva regulamentação, fragilizam a segurança que se almeja”, lembra Selma. “Ainda assim, vemos na iniciativa privada constante preocupação com essas informações, traduzida no desenvolvimento de sistemas submetidos a rigorosos testes, na aplicação de procedimentos de conduta sérios, com previsão de responsabilidades, dentre outras providências adotadas por muitas empresas sérias”.
Ainda não há fórmula ou tecnologia mágica que garanta, por si só, a segurança de todos os dados. Para qualquer empresa, nunca será cedo ou tarde demais para entender e atender essa legislação e, como em qualquer mercado profissional, o preparo e treinamento são essenciais. Um bom primeiro passo é participar dos treinamentos da Opice Blum Academy, do escritório brasileiro de advocacia especializado em segurança digital. Além de realizar treinamentos personalizados para empresas interessadas, o escritório já programou cursos nas cidades de São Paulo, Florianópolis e Porto Alegre para o mês de setembro.
Internacionalmente preparada
Multinacional americana que atua com sistemas que reduzem custos e aumentam a produtividade para os segmentos de Agricultura, Transportes e Logística, Geoespacial e Construção de Infraestrutura e Edificações, a Trimble é um exemplo claro de empresa de tecnologia que buscou se adequar as normas da GDPR, começando a se preparar dois anos antes da legislação entrar em vigor.
“Desenvolver soluções seguras começa por entender contra quais ameaças essas soluções precisam ser protegidas. Sem a compreensão adequada das ameaças, os controles de segurança podem ser ineficientes ou até agravantes”, pontua Fátima Gonçalves, diretora de novos negócios da Trimble. “Por essa razão, além do departamento responsável pela proteção de dados na Trimble, cada divisão conta com especialistas no segmento de atuação com longa experiência na compreensão das ameaças”.
As etapas de adequação relatadas pela executiva são muito semelhantes àquelas recomendadas pelo advogado Caio Lima. Após a compreensão inicial do GDPR, a empresa realizou um levantamento de quais sistemas sistemas armazenavam dados de clientes, verificando a aderência às regras de segurança e manutenção dos dados pelo período necessário para realização de negócios e prestação dos serviços até a destruição segura, quando os dados não forem mais necessários.
“O passo seguinte foi criar um treinamento específico sobre Segurança de Dados Pessoais de Clientes, obrigatório para todos os funcionários, e repetido periodicamente, sobre como identificar e proteger dados que possam identificar pessoas, sobre as regras de compartilhamento somente com pessoas autorizadas, que se somou ao treinamento de Segurança da Informação e de Condução de Negócios com Ética”.
A garantia de funcionamento dos processos não é a única estratégia adotada pela multinacional. Para os serviços online Tekla da Trimble, Fátima relata o uso de algumas tecnologias e métodos de trabalho baseado em padrões consolidados do mercado, como a própria ISO 27001.
O protocolo HTTPS/TLS, por exemplo, é usado para assegurar os dados dos clientes quando transitam pela internet, com hospedagem em data centers de classe mundial com redundância geográfica para garantir alta disponibilidade e escalabilidade. “Isso é especialmente crítico em serviços por onde transitam projetos/modelos e outros dados criados por nossos clientes”, diz. “Somado a isso, muitos requerimentos de segurança estão alinhados ao padrão da indústria, como por exemplo BSIMM (Building Security in Maturity Model) e OWASP ASVS (Application Security Verification Standard)”.
Mesmo depois de garantir que todas as aplicações foram desenvolvidas de acordo com as melhores práticas da indústria e por profissionais altamente qualificados, a empresa ainda submete os serviços à auditorias de segurança realizadas por entidades certificadoras reconhecidas, como a Cert. “Essas auditorias são realizadas com os padrões e frameworks OWASP Foundation ASVS 3.0 e o OWASP Top 10 ou ainda o OWASP Mobile Top 10. Todos os pontos levantados são ranqueados de acordo com o método CVSS (Common Vulnerability Scoring System)”, destaca a executiva.
De fato, o caminho para adequação às legislações de proteção de dados não parece fácil mas é necessário e indispensável em um mundo cada vez mais conectado. Para continuar se informando sobre as tendências tecnológicas e o mercado de segurança eletrônica, apoie a Digital Security, compartilhe o nosso conteúdo e nos siga no Facebook e no YouTube.
Comentários fechados.